Su dirección de correo electrónico es el centro de su vida digital. Si eres como yo, tienes una dirección de correo electrónico principal que usas para todo.
Las cuentas de redes sociales como Facebook, Twitter y Pinterest se resolverán de nuevo en mi cuenta principal de Gmail. Cualquier servicio por el que pago como Spotify y Netflix, también ingreso a mi cuenta principal de Gmail.
En algunos casos, uso el truco + (si pones [email protected], el correo electrónico aún llega a [email protected], simplemente tener el servicio + para que sepa si esa dirección se está utilizando fuera de los libros) pero el truco + se trata más de archivo y gestión que seguridad. La gente sabe que su correo electrónico principal es [email protected].
El problema es que también lo usaría para otras cosas, como cuando me inscribí brevemente en Adobe.com para usar sus servicios en la nube. Resulta que a mí y a 153 millones de mis amigos más cercanos de Internet nos piratearon nuestros correos electrónicos, nombre de usuario, contraseña cifrada y sugerencias de contraseña en octubre de 2013. El cifrado era débil, por lo que las contraseñas eran
muy fácilmente convertido en texto sin formato (el desglose de las contraseñas es fascinante... ¡“iloveyou” es una contraseña muy popular!).Tengo la suerte de que uso diferentes contraseñas para todas las cuentas, así que cuando supe que mi cuenta de Adobe fue violada, estaba "bien".
Después de ese momento, resolví cortafuegos mi sistema de correo electrónico.
- Una dirección de correo electrónico para material “clasificado” de alta seguridad: servicios financieros e información confidencial.
- Una dirección de correo electrónico para servicios inseguros y de baja seguridad.
Tomar prestada una página del gobierno de los EE. UU.
El gobierno de los Estados Unidos tiene sistemas clasificados y no clasificados y la premisa básica es que los dos nunca se encontrarán. La información sensible e importante vive en el mundo clasificado. La información menos importante y menos sensible vive en el mundo no clasificado.
Si el sistema no clasificado se viola de alguna manera, solo se revela la información menos importante y menos sensible. El sistema clasificado es seguro.
Su información bancaria y de corredor es sensible e importante. Su página de Facebook puede parecer importante... pero no lo es. Es posible que no pueda vivir sin Pinterest o Playstation, pero esos no son importantes. 🙂
Yo diría que la información de la tarjeta de crédito NO se considera importante porque las protecciones de responsabilidad del consumidor son excepcionalmente sólidas. Todas mis tarjetas de crédito tienen una responsabilidad de $ 0. Además, el punto de acceso suele ser la propia tarjeta, no la cuenta en línea.
Reglas de una dirección de correo electrónico clasificada
Estas son mis reglas:
- Utilice su dirección de correo electrónico clasificada para cuentas en las que es imprescindible una alta seguridad: bancos, corredores, etc. (¡no tarjetas de crédito!)
- Utilice su correo electrónico clasificado únicamente en sus circunstancias estrictas, nunca en otro lugar.
- Acceda a esa cuenta solo cuando acceda a las cuentas financieras subyacentes, desde su casa y nunca desde otro lugar, como la casa de sus amigos, el centro de negocios del hotel, el gimnasio, etc.
- No reenvíe su correo electrónico clasificado a su correo electrónico no clasificado, los dos nunca se encontrarán.
- Utilice una contraseña segura. Preferiblemente un administrador de contraseñas como 1 contraseña.
Puede llevar cada idea a su extremo lógico dependiendo de su deseo de seguridad vs. conveniencia. Por ejemplo, puede crear una dirección de correo electrónico única para cada cuenta o puede guardar una computadora vieja estrictamente para acceder a esas cuentas (sin programas instalados que puedan ser malware). Eso te lo dejo a ti.
El objetivo es mantener esa dirección de correo electrónico lo más oculta posible para que nunca pueda ser pirateada a menos que el banco sea pirateado.
Lo mejor de esto es que una vez que lo configura, le da tranquilidad. Si su dirección de correo electrónico no clasificada se divulga en una infracción, sabe que su dirección de correo electrónico clasificada está segura. Y nunca será engañado por un correo electrónico de phishing porque ninguna de sus cuentas está vinculada a su dirección de correo electrónico no clasificada.
Además, ¡las direcciones de correo electrónico son gratuitas! El único costo está en la gestión.
¿Puedo buscar hacks?
La mayoría de los ataques o infracciones afectan a sistemas en los que la seguridad no es una prioridad.
Estaba usando haveibeenpwned.com para ver si mi dirección de correo electrónico se vio comprometida. El sitio está dirigido por Troy Hunt, un profesional de seguridad confiable y bien considerado, que recopila todos los datos personales disponibles públicamente y los hace buscables.
Si observa las 10 principales infracciones, ninguna fue de lo que consideraría sistemas de alta seguridad. Adobe, Ashley Madison, algunos sitios de juegos, VTech y foros. Si miras todos las infracciones, comienza a ver algunos sitios tangencialmente financieros (principalmente sistemas de juego y pago) pero no ve bancos o corredores.
Una vez que un pirata informático obtiene su dirección de correo electrónico, es trivial comenzar a enviar correos electrónicos de phishing para obtener un mayor acceso a la cuenta. Con 152 millones de direcciones de correo electrónico en el hack de Adobe, una tasa de éxito del 0,001% sigue siendo 1.520 cuentas!
Gmail es bastante bueno para filtrar correos electrónicos de phishing, pero una mejor solución es mantener una dirección de correo electrónico secreta solo para servicios financieros y otros sistemas de alta seguridad.
(y recuerde, sitios como haveibeenpwned.com solo buscan infracciones que se pusieron a disposición del público, muchas no se divulgan)
Otras dos cosas que hago ...
Utilice nombres de usuario únicos. No hay ninguna razón por la que su nombre de usuario de World of Warcraft deba ser el mismo que su nombre de usuario de Wells Fargo. 🙂 Cuando Adobe fue pirateado, reveló nombres de usuario y contraseñas cifradas (pero débilmente cifradas). Si tiene nombres de usuario y contraseñas, es aún más fácil probar las credenciales en todos los bancos.
¡Encienda 2FA!Activar la autorización de dos factores en todas sus cuentas financieras. La autorización de dos factores es crucial y es fácil con los teléfonos inteligentes. Debes usarlo.
¿Utiliza direcciones de correo electrónico independientes para mantener las cosas un poco más seguras?